サイバーセキュリティ研究者たちは、VMwareを装った偽のドメインを使用して回避を図る新しいLinux版のリモートアクセストロイの木馬(RAT)であるBIFROSE(別名Bifrost)の変種を発見した。この最新バージョンのBifrostは、セキュリティ対策を回避し、対象システムを侵害することを目的としている。BIFROSEは2004年から活動している長期にわたる脅威であり、過去には地下フォーラムで最大$10,000で販売されていた。このマルウェアは、中国の国家支援ハッキンググループであるBlackTechによって使用されており、日本、台湾、米国の組織を攻撃してきた歴史がある。脅威アクターは2010年頃にソースコードを購入またはアクセスを得て、KIVARSやXBOWなどのカスタムバックドアを介して自身のキャンペーンでマルウェアを再利用しているとされる。Linux版のBIFROSE(別名ELF_BIFROSE)は、少なくとも2020年から観察されており、リモートシェルの起動、ファイルのダウンロード/アップロード、ファイル操作を行う能力がある。
攻撃者は通常、Bifrostを電子メールの添付ファイルや悪意のあるウェブサイトを通じて配布する。被害者のコンピュータにインストールされると、Bifrostは攻撃者が被害者のホスト名やIPアドレスなどの機密情報を収集することを可能にする。最新の変種は、VMwareに偽装する試みとして「download.vmfare[.]com」という名前のコマンドアンドコントロール(C2)サーバーに接続することが特筆される。この偽のドメインは、IPアドレス168.95.1[.]1を持つ台湾の公共DNSリゾルバに接触することで解決される。Unit 42は、2023年10月以降、Bifrost活動の急増を検出し、テレメトリーで104以上のアーティファクトを特定した。さらに、マルウェアのArmバージョンも発見され、脅威アクターが攻撃対象を拡大しようとしている可能性が示唆されている。新しい変種がタイポスクワッティングのような偽装ドメイン戦略を採用していることで、Bifrost活動の最近の急増はこのマルウェアの危険性を強調している。
【ニュース解説】
サイバーセキュリティの研究者たちが、新たなLinux版のリモートアクセストロイの木馬(RAT)であるBIFROSE(別名Bifrost)の変種を発見しました。この変種は、VMwareを装った偽のドメイン「download.vmfare[.]com」を使用して、セキュリティ対策を回避しようとする特徴があります。この偽のドメインは、台湾にある公共DNSリゾルバを介して解決されます。この発見は、セキュリティ業界において重要な意味を持ちます。
BIFROSEは、2004年から活動している長期にわたる脅威であり、過去には地下フォーラムで最大$10,000で販売されていたことがあります。このマルウェアは、中国の国家支援ハッキンググループであるBlackTechによって使用されており、日本、台湾、米国の組織を攻撃してきた歴史があります。Linux版のBIFROSEは、リモートシェルの起動、ファイルのダウンロード/アップロード、ファイル操作を行う能力があることが知られています。
この最新の変種が注目される理由は、偽装ドメイン戦略を採用している点にあります。タイポスクワッティングと呼ばれるこの手法は、ドメイン名を紛らわしくすることで、ユーザーやセキュリティシステムを欺くことを目的としています。この戦略により、マルウェアは検出を回避しやすくなり、感染の成功率が高まります。
このような偽装ドメインを使用することのリスクは、セキュリティ対策の回避だけでなく、信頼されているブランドやサービスに対する信頼性の損失にもつながります。ユーザーは、正規のサービスと思い込んで偽のドメインにアクセスし、機密情報を盗まれるリスクにさらされます。
この発見は、サイバーセキュリティ対策の重要性を再確認させるものです。組織や個人は、使用するソフトウェアやサービスのドメイン名を慎重に確認し、不審な点があれば直ちにアクセスを避けるべきです。また、セキュリティソフトウェアの更新を常に最新の状態に保ち、不正なアクセスやマルウェアの感染を未然に防ぐための対策を講じることが求められます。
長期的な視点では、このような偽装ドメインを使用した攻撃の増加は、ドメイン名システム(DNS)のセキュリティ強化や、偽装ドメインの検出技術の進化を促す可能性があります。また、サイバーセキュリティ教育の重要性が高まり、ユーザーが自らを守るための知識と意識を持つことがより一層重要になってくるでしょう。
from New BIFROSE Linux Malware Variant Using Deceptive VMware Domain for Evasion.
“新Linux版BIFROSE発見、VMware偽装ドメインでセキュリティ回避狙う” への1件のコメント
サイバーセキュリティに関するこの記事の内容は、私たち小規模ビジネス経営者にも大きな影響を与えるものです。私の電気店でも日々の業務において様々なソフトウェアやオンラインサービスを利用していますが、このような脅威があると知ると、セキュリティ対策の重要性を再認識せざるを得ません。特に、VMwareを装った偽のドメインを使用してセキュリティ対策を回避しようとする手口は、普通のビジネスオーナーとしては想像もつかない手法です。
この記事を読んで、私たちが日常的に行っているセキュリティ対策だけでは不十分かもしれないと感じました。例えば、ソフトウェアのアップデートを常に最新に保つ、不審なメールやウェブサイトからのダウンロードを避ける、強固なパスワードの使用など、基本的なセキュリティ対策を徹底することはもちろんのこと、より専門的なセキュリティ対策を検討する必要があるかもしれません。
また、このような攻撃の増加は、私たち経営者だけでなく、地域社会全体でのサイバーセキュリティ意識の向上が必要であると感じます。地域の祭りやイベントでの情報交換の場を利用して、サイバーセキュリティ